Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 5093 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM 9 External ELB on AWS

d8fdb9f5
Using Sophos UTM 9 instance on Amazon Web Services.

Firmware Version: 9.315-2

I have successfully installed my custom SSL certificate on the Sophos instance. I have also successfully setup HTTPS for the internal load balancer.

However, I am unable to setup HTTPS for the external ELB (Elastic Load Balancer). Please see the attached diagram - I am using the same certificate info for the internal load balancer as the external but seeing the following errors in the WAF log: 

2015:08:25-12:50:49 sophos reverseproxy: [Tue Aug 25 12:50:49.000202 2015] [url_hardening:error] [pid 16381:tid 4072471408] [client 172.16.0.61:64865] Hostname in HTTP request (172.16.0.5) does not match the server name (www.mydomainname.com)



2015:08:25-12:50:49 sophos reverseproxy: id="0299" srcip="172.16.0.61" localip="172.16.0.5" size="209" user="-" host="172.16.0.61" method="GET" statuscode="403" reason="-" extra="-" exceptions="-" time="3091" url="/" server=“www.mydomainname.com" referer="-" cookie="-" set-cookie="-"


I'm using the BASIC WAF profile and it is set to MONITOR. Sophos Support has not been able to help me with this issue.


This thread was automatically locked due to age.
Parents
  • 0
    The AWS ELB's need to receive a HTTP 200 OK response in order to successfully pass the health check.

    When I use the curl command on the external interface of my Sophos UTM, I get the response, HTTP/1.1 403 Forbidden which is why the AWS ELB is failing the health check.

    I tried adding the external interface of my Sophos to the domains section under Web Application Firewall --> Virtual Web Servers however, once "Encrypted (HTTPS)" is selected for the Type, you cannot manually add an IP address. Instead, the URL of the uploaded TLS certificate is added.

    I also tried unchecking "Static URL hardening" as well as completely removing the firewall profile from my Virtual Web Server but no luck.

    I have had a case open with Sophos support since August 22 and still no resolution on this issue so I'm beginning to suspect that the Sophos UTM 9 does not support AWS ELB external load balancing.

    UPDATE: I might have figured it out. Since there is no path to ping on the Sophos I tried changing the AWS ELB health check protocol to SSL. Now the Sophos successfully shows up in the ELB. I still have some testing to do but if this works, it was sooooo simple!
Reply
  • 0
    The AWS ELB's need to receive a HTTP 200 OK response in order to successfully pass the health check.

    When I use the curl command on the external interface of my Sophos UTM, I get the response, HTTP/1.1 403 Forbidden which is why the AWS ELB is failing the health check.

    I tried adding the external interface of my Sophos to the domains section under Web Application Firewall --> Virtual Web Servers however, once "Encrypted (HTTPS)" is selected for the Type, you cannot manually add an IP address. Instead, the URL of the uploaded TLS certificate is added.

    I also tried unchecking "Static URL hardening" as well as completely removing the firewall profile from my Virtual Web Server but no luck.

    I have had a case open with Sophos support since August 22 and still no resolution on this issue so I'm beginning to suspect that the Sophos UTM 9 does not support AWS ELB external load balancing.

    UPDATE: I might have figured it out. Since there is no path to ping on the Sophos I tried changing the AWS ELB health check protocol to SSL. Now the Sophos successfully shows up in the ELB. I still have some testing to do but if this works, it was sooooo simple!
Children
No Data
Unfiltered HTML